Hugging Face y ClawHub comprometidos: malware en cientos de modelos de AI

Qué Sucedió

Hugging Face es el repositorio central donde se almacenan más de un millón de modelos de ML, utilizados por prácticamente todas las empresas de IA del planeta. Se ha descubierto que entre ellos hay cientos de modelos maliciosos disfrazados de legítimos. Este es el primer ataque importante de la cadena de suministro contra la infraestructura de IA. Los modelos maliciosos salieron a la luz como resultado de una seguridad configurada incorrectamente. Hugging Face permite que cualquier usuario cargue modelos, y esto ha sido explotado por atacantes. ClawHub, un repositorio de habilidades de agentes, también fue comprometido a través de módulos cargados por usuarios.

Escala del Ataque

• Cientos de modelos maliciosos en Hugging Face
• Ocultos entre más de un millón de modelos legítimos
• Afectan las APIs y proyectos privados de desarrolladores
• ClawHub y otros repositorios también están comprometidos
• Primer ataque sistemático contra la infraestructura de ML

Cómo Funciona el Malware

El malware entra en el modelo en la etapa de carga. Cuando un desarrollador descarga un modelo a través del SDK de Hugging Face o lo importa en el código, ocurre la inicialización. Es en esta etapa donde se ejecuta el código malicioso. Lo que puede hacer: ejecutar código arbitrario en la máquina, robar datos del entorno de trabajo del desarrollador, instalar puertas traseras para acceso remoto, comprometer sistemas de producción al desplegar un modelo infectado, propagarse a proyectos dependientes a través de la cadena de dependencias.

Por Qué Esto Es Peligroso

Los desarrolladores de IA tratan Hugging Face como el equivalente de npm o PyPI — descargan modelos como dependencias sin verificar el código. Nadie revisa manualmente el contenido de los modelos de ML porque es imposible a escala. Un modelo malicioso puede permanecer inactivo en un sistema de producción durante meses, esperando una condición específica, o funcionar encubiertamente, recopilando datos gradualmente. Este es un ataque clásico de la cadena de suministro, pero en el contexto de IA es aún más peligroso porque no es una biblioteca la que está infectada, sino código listo para ejecutarse con privilegios completos.

Qué Significa Esto

La infraestructura de desarrollo de IA se ha convertido en un objetivo serio. La industria necesita medidas urgentes: mecanismos para verificar el código del modelo, aislamiento de ejecución al cargar, requisitos más estrictos para cargar en repositórios centrales. Esto se convertirá en un requisito necesario para trabajar con modelos abiertos.